今日は涼しいなぁ

http://blog.ohgaki.net/-13 なんか違和感があるなぁと思った。 脆弱性がどこで発生するかと言うと、多くの場合、他のプログラムへの出口だと思うんですよ。入り口で閉める（ホワイトリストやブラックリストでフィルタリングする）ことで、そりゃある程度の…

http://opentechpress.jp/opensource/08/08/14/0159247.shtml 試してみないとなぁ。

http://www.microsoft.com/downloads/details.aspx?FamilyID=2412C443-27F6-4AAC-9883-F55BA5B01814&displaylang=en あとで

http://itpro.nikkeibp.co.jp/article/COLUMN/20080707/310281/?ST=system あとで

最近検証している某ツールなのだが、結構使えそう。これは期待できる。中身のロジックも考えてたとおりっぽいしｗ まあ、何のことなのかはひ・み・つということでw

世間では盆休みと言うものらしい。世のお父さんたち大変そうだなｗ

http://d.hatena.ne.jp/barikata-sec/20080906 ということで、話すことになりました。押しかけ講師ということでｗ ネタは前から考えている開発工程におけるセキュリティ対策と、セキュリティ検査についてです。 これから資料作らなならんのだけど、出来るか…

https://www.tokai-ic.or.jp/dnscrisis/img0.html なるほど、そういうことかって今頃理解するorz

世間は盆休みのようですが普通に仕事･･･ しかし、暑い

http://164.106.251.250/docs/bh2008/ これとか面白そう。 http://164.106.251.250/docs/bh2008/Clark_SQL_Injection_for_Fun/ http://164.106.251.250/docs/bh2008/DeMott_AppSec_A-Z/ DEFCONの資料も出てたので、見てみてるけど、面白そうなのに限ってない…

今一よくわかってないけど、自分自身の理解の確認のために書いてみる。 まず、HTTPSの利点だが、これは以下の2点が挙げられると思う。 正しい接続先であることを信頼できる。 通信が暗号で行われるため、盗聴されるリスクをほぼなくせる。 さて、多くの人の…

http://slashdot.jp/security/article.pl?sid=08/08/06/0237247 を見て、SSLと証明書について今一理解されてないなぁと思った。私も、あまり正しく理解してないけどorz ちょっとここらで一言後で書いてみる。

http://itpro.nikkeibp.co.jp/article/NEWS/20080804/312073/ またLACか。というかまたSQLインジェクションかって言えなくもないｗ いやまあ、これを書きたかっただけなんですw

脳がとろけそうだぜぇ

http://cups.cs.cmu.edu/soups/2008/proceedings/p117Falk.pdf 後で読む

https://www.pcisecuritystandards.org/pdfs/japanese_infosupp_6_6_applicationfirewalls_codereviews.pdf へー、ツールでもOKなんだ。

SDLのやり方考え中。 主に設計＆コーディング規約みたいな感じだけど、アイデアとしては、アプリの機能を細分化して、チェックリストみたいなのを作る感じかな？ 例えば、こんな感じ。 ■指定したファイルへのアクセス ・ファイルが幾つか特定できている場合 …

遅くまでおきていたにもかかわらず、朝早く目が覚めてしまったorz

WASF カンファレンス 2008で「ワフ」と言う話が出たので、「ワフ」より「わふ」のほうが間抜けじゃないか？とtwitterで書いたら、 http://twitter.com/ten_forward/statuses/873291607 とレスをもらったので、参考になる絵を探してみたｗ http://upload.wiki…

某社で･･･

かなり、疲れているらしいw

http://slashdot.jp/security/article.pl?sid=08/07/27/2259238 アメリカでの話しだそうだが、日本でもそうだろうなぁ。 ちなみに、私は幾つかネットバンキングのアカウントを持っているけど、パスワードを間違えて入れたおかげで、全てロックがかかってます…

CANTILLON のGueuzeだった。すっぱくてうまかった。しかし、賞味期限が2027年12月と20年後だったのには少し笑ったｗ 20年持つビールって･･･一度20年もの飲んでみたいなぁ

mixiで「諸君、私は戦争が好きだ」のネタを書いたら、変なことを思いついたｗ しかし、ネタ的に古いなぁ諸君、私はわふが好きだ 諸君、私はわふが好きだ 諸君、私はわふが大好きだ脆弱性が好きだ XSSが好きだ SQLインジェクションが好きだ ディレクトリトラ…

http://kotonet.com/mailform/security2.html オレオレ証明書を使っている場合の説明としては、及第点か微妙だけど、無視してOKというよりはまし。 この警告文は「サイトに記載された情報や暗号化技術、もしくは社会的信用に問題がある」のではなく、「第三…

http://ameblo.jp/dendrobium2007/entry-10112377473.html 興味深い。 こういうのがいろいろ出てみんなで共有できると、事件・事故が起こったとき役に立つんだけどなぁ。 そういった意味でもサウンドハウスの件とか、これは非常にうれしい。

http://bakera.jp/ebi/topic/3179 を読んで今更ながらに思ったんだけど、必要な情報が必要なところに届いていないんだなぁと。 開発者であっても、IPAでセキュリティ情報を流しているということを知らなかったり（もしかしたらIPAと言う存在も知らない人がい…

わすふでえすでぃーえると言う話があったので、ちと妄想してみる。 えすでぃーえるでは、そにぃの中の人がせきゅあな設計はコストがかかるけどれびゅぅはあんまり高くないからいいかもってな感じだったけど）、実際設計段階でセキュリティを考えて設計すると…

わすふにてわふと言うネタがあったので、ちと妄想してみる。 実際のところ、わふって高いわりに運用が面倒だし、単につながってるだけとか、電源入れてませんと言うところが多そうだな。 きっちり設定したらアプリが動きませんとか（それってアプリが悪いん…